Trojaner-Board - unbekannter trojaner!? verschickt mails

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - unbekannter trojaner!? verschickt mails (https://www.trojaner-board.de/31600-unbekannter-trojaner-verschickt-mails.html)

unbekannter trojaner!? verschickt mails

habe gestern eine gedownloadete exe-datei (24KB) geöffnet, die ein fake ist.
offensichtlich durch dieses programm verursacht verschickt mein PC jetzt pausenlos spammail mit völlig unterschiedlichen absendern und empfängern.
gemerkt hab ich das, weil avast! eine potentielle bedrohung meldete mit: "zu viele identische e-mails zur festgesetzten zeit"
weil im sekundentakt diese meldungen kamen, habe ich den prozess ashmaisv.exe von avast! beendet, um im netz nach einer lösung zu suchen.
es muß doch eine möglichkeit geben, dieses programm zu stoppen!?

ich habe bis jetzt nicht wirklich hilfreiches gefunden.
hier das HJT-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:41:52, on 22.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\eMule\Incoming\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

Hallo,

stoppen kannst du Spam, in dem du einfach den Netzwerkstecker ziehst :rolleyes:

Nein jetzt mal Spass bei Seite, du hast diesen im System -> Troj/IRCBot-FP

Da hilft keine Bereinigung mehr, sondern nur noch eine Neuinstallation!
Nein, es gibt wirklich keine andere Möglichkeit.

Sorry,
Sunny

Naja, in dem Fall (True Image) bietet sich an, dass letzte saubere Image des Systems zurückzuspielen.

Gruß :daumenhoc
Yopie

na supi
hab zwar true image, aber ich hatte plötzlich nicht mehr genügend speicherplatz und hab deswegen nie ein image gemacht.

woran hast du denn erkannt, was ich hab?
kann doch ned sein, daß man den nicht weg kriegt!?

ich kann aber meine daten retten, oder?

also mp3, word-dokumente, textdateien, installationsdateien, etc..

Zitat:

Zitat von rivaldo

hab zwar true image, aber ich hatte plötzlich nicht mehr genügend speicherplatz und hab deswegen nie ein image gemacht.

Das ist dann Künstlerpech. Denk mal über den Kauf einer externen Festplatte oder eines DVD-Brenners nach.

Zitat:

woran hast du denn erkannt, was ich hab?
kann doch ned sein, daß man den nicht weg kriegt!?

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Und da es ein Backdoor ist, kriegt man den nicht durch "rumfuckeln" weg.

Zitat:

also mp3, word-dokumente, textdateien, installationsdateien, etc..

Alles, was nicht ausführbar ist, kannst du sichern. Installationsdateien (exe?) können durch den Backdoor verändert worden sein, ein Sichern macht nicht wirklich Sinn.

Gruß :daumenhoc
Yopie

erstmal danke für Eure hilfe!
ich hab mir die von Dir angegebenen links durchgelesen und eingesehen, daß vermutlich nur eine komplette neuinstallation hilft. trotzdem kam ich als letzten versuch auf die idee die windows systemwiederherstellung auszuprobieren. ich wußte nämlich wann genau ich diese nämliche datei ausgeführt habe.
hatte mich gar nciht getraut danach zu fragen, weil ich kein gelächter provozieren wollte.
habs dennoch probiert und plötzlich bringt mir avast! keine sicherheitswarnung mehr.
hier nochmal logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:11:02, on 22.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\eMule\emule.exe
C:\Programme\Thief\THIEF.EXE
C:\Programme\Thief\timeseal.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\eMule\Incoming\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Microsoft Network File] C:\WINDOWS\system32\SVHORST.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

habt ihr zu der svhorst.exe eine meinung?
ich hatte zuerst in ihr den virus vermutet und den prozess geblockt.
nach der wiederherstellung is sie natürlich wieder da

Hallo nochmal,

ist mir ja eigentlich egal, daher tu was du willst!!!
Vor allem mit dem hier -> C:\Programme\eMule\emule.exe :headbang:

Ohne dich, nachdem du dein Problem (nicht!) gelöst hast, zu beunruhigen, lass mal folgende Datei jetzt bei Virustotal auswerten.
Poste danach das Ergebnis. (markieren, kopieren, und in einen Beitrag einfügen!)

Gruß
Sunny

Zitat:

Zitat von rivaldo

habt ihr zu der svhorst.exe eine meinung?
ich hatte zuerst in ihr den virus vermutet und den prozess geblockt.
nach der wiederherstellung is sie natürlich wieder da

Lt. Google ein nicht näher spezifizierter Backdoor-Server.
Näheres bekommst du wahrscheinlich unter http://www.kaspersky.com/scanforvirus raus.

Neuaufsetzen wirst du in jedem Fall müssen.

Gruß :daumenhoc
Yopie

folgende datei? welche?
die 24KB .exe, die die probleme hervorgerufen hat oder wo?

Sorry ;) hab vergessen die Datei zu nennen -> C:\WINDOWS\system32\SVHORST.exe